Retool, một công ty phát triển phần mềm nổi tiếng, gần đây đã tiết lộ rằng 27 khách hàng trên nền tảng đám mây của họ đã phải hứng chịu các cuộc tấn công lừa đảo dựa trên SMS có chủ đích.
Vụ rò rỉ làm dấy lên lo ngại về tính bảo mật của tính năng đồng bộ đám mây, đặc biệt là đồng bộ đám mây của Google Authenticator.
Retool bị tấn công lừa đảo qua SMS có chủ đích
Cuộc tấn công ngày 27 tháng 8 bắt đầu bằng một chiến dịch lừa đảo qua tin nhắn văn bản lừa đảo nhắm vào nhân viên của Retool. Những kẻ độc hại mạo danh các thành viên nhóm CNTT và thúc giục người nhận nhấp vào các liên kết có vẻ hợp pháp để giải quyết các vấn đề liên quan đến bảng lương. Một nhân viên đã rơi vào cái bẫy này và truy cập vào một trang đăng nhập giả mạo với biểu mẫu xác thực đa yếu tố nơi thông tin đăng nhập của họ bị đánh cắp.
Sau khi có thông tin đăng nhập của nhân viên, họ sẽ liên hệ trực tiếp với người đó. Họ đã sử dụng công nghệ deepfake tiên tiến để mạo danh giọng nói của một thành viên nhóm CNTT một cách thuyết phục và lừa nhân viên này làm rò rỉ mã xác thực đa yếu tố.
Tình hình đã thay đổi khi nhân viên sử dụng tính năng đồng bộ hóa đám mây của Google Authenticator, tính năng này cho phép kẻ tấn công truy cập vào hệ thống quản lý nội bộ. Sau đó, họ đã nắm quyền kiểm soát tài khoản của 27 khách hàng trong ngành tiền điện tử.
Fortress Trust là một trong những khách hàng bị ảnh hưởng và chịu tổn thất lớn, với số tiền điện tử trị giá khoảng 15 triệu USD bị đánh cắp do vi phạm.
Chính phủ Mỹ cảnh báo về mối đe dọa deepfake
Việc sử dụng công nghệ deepfake trong cuộc tấn công này đã làm dấy lên mối lo ngại trong chính phủ Mỹ. Các cố vấn gần đây cảnh báo rằng các tác phẩm giả mạo sâu về âm thanh, video và văn bản có thể bị lạm dụng cho các mục đích xấu, chẳng hạn như các cuộc tấn công xâm phạm email doanh nghiệp (BEC) và lừa đảo tiền điện tử.
Mặc dù danh tính của hacker chưa được công khai nhưng chiến thuật được sử dụng tương tự như chiến thuật của kẻ đe dọa có động cơ tài chính Dispersed Spider (UNC3944), được biết đến với các kỹ thuật lừa đảo tinh vi.
Công ty an ninh mạng Mandiant đã chia sẻ những hiểu biết sâu sắc về phương pháp của những kẻ tấn công, cho biết chúng có thể đang sử dụng quyền truy cập vào môi trường của nạn nhân để tăng cường các chiến dịch lừa đảo. Theo quan sát trong một số trường hợp, điều này liên quan đến việc thiết lập các miền lừa đảo mới bằng cách sử dụng tên hệ thống nội bộ.
Kodesh nhấn mạnh tầm quan trọng của sự cố, nhấn mạnh những rủi ro khi đồng bộ hóa mã một lần lên đám mây. Điều này làm ảnh hưởng đến yếu tố “thứ mà người dùng có” trong xác thực đa yếu tố. Ông khuyến nghị người dùng nên cân nhắc sử dụng các khóa hoặc khóa bảo mật phần cứng tuân thủ FIDO2 để tăng cường bảo mật trước các cuộc tấn công lừa đảo.
